PENETRASYON TESTİ NEDİR?
Kalem testi olarak da bilinen bir penetrasyon testi, sömürülebilir güvenlik açığı olup olmadığını kontrol etmek için bilgisayar sisteminize karşı simüle edilmiş bir siber saldırıdır. Web uygulaması güvenliği bağlamında, bir web uygulaması güvenlik duvarını (WAF) arttırmak için penetrasyon testi yaygın olarak kullanılır .

Kalem testi, kod enjeksiyon saldırılarına karşı hassaslaştırılmış girdiler gibi güvenlik açıklarını açığa çıkarmak için çok sayıda uygulama sisteminin (örneğin, uygulama protokolü arayüzleri (API'ler), ön uç / arka uç sunucuları) ihlal edilmesini içerebilir.

Sızma testi tarafından sağlanan bilgiler, WAF güvenlik politikalarınıza ince ayar yapmak ve tespit edilen güvenlik açıklarını düzeltmek için kullanılabilir.

PENETRASYON TEST AŞAMALARI
Kalem test işlemi beş aşamaya ayrılabilir.

Penetrasyon Testinin Beş Aşaması

1. Planlama ve keşif
İlk aşama şunları içerir:

Ele alınacak sistemler ve kullanılacak test yöntemleri dahil olmak üzere, testin kapsamını ve hedeflerini tanımlama.
Bir hedefin nasıl çalıştığını ve potansiyel güvenlik açıklarını daha iyi anlamak için istihbarat toplama (örn. Ağ ve etki alanı adları, posta sunucusu).
Tarama
Bir sonraki adım, hedef uygulamanın çeşitli izinsiz giriş denemelerine nasıl cevap vereceğini anlamaktır. Bu genellikle kullanılarak yapılır:

Statik analiz - Bir uygulamanın kodunu inceleyerek çalışırken nasıl davrandığını tahmin etmek. Bu araçlar, kodun tamamını tek bir geçişte tarayabilir.
Dinamik analiz - Bir uygulamanın kodunu çalışır durumda inceleme. Bu, uygulamanın performansıyla ilgili gerçek zamanlı bir görünüm sağladığından, daha pratik bir tarama yöntemidir.

Erişim kazanma
Bu aşamada, bir hedefin güvenlik açıklarını ortaya çıkarmak için siteler arası komut dosyası çalıştırma , SQL enjeksiyonu ve arka kapılar gibi web uygulaması saldırıları kullanılır . Test uzmanları daha sonra, neden olabilecekleri hasarı anlamak için, tipik olarak ayrıcalıkları arttırarak, veri çalarak, trafiği ele geçirerek, vb. Kullanarak bu güvenlik açıklarını kullanmaya çalışmaktadır.

Erişimi sürdürmek
Bu aşamanın amacı, güvenlik açığının sömürülen sistemde kalıcı bir varlık elde etmek için kullanılıp kullanılamayacağını - kötü bir aktörün derinlemesine erişim kazanmasına yetecek kadar uzun süredir görmek. Buradaki düşünce, bir kuruluşun en hassas verilerini çalmak için genellikle aylarca sistemde kalan ileri düzey kalıcı tehditleri taklit etmektir.

Analiz
Sızma testinin sonuçları daha sonra ayrıntılı bir rapor halinde derlenir:

Sömürülen belirli güvenlik açıkları
Erişilen hassas veriler
Kalem test cihazının tespit edilemeyen sistemde kalabilmesi için gereken süre
Bu bilgiler, bir güvenlik açığının düzeltilmesi ve gelecekteki saldırılara karşı korunma amacıyla bir kuruluşun WAF ayarlarının yapılandırılmasına yardımcı olmak için güvenlik personeli tarafından analiz edilir.

PENETRASYON TEST YÖNTEMLERİ
DIŞ TEST
Dış penetrasyon testleri, internette görünen bir şirketin varlıklarını, örneğin web uygulamasının kendisi, şirketin web sitesi ve e-posta ve etki alanı adı sunucuları (DNS) hedefler. Amaç, erişim sağlamak ve değerli verileri elde etmektir.

DAHİLİ TEST
Dahili bir testte, güvenlik duvarının arkasındaki bir uygulamaya erişimi olan bir test cihazı, kötü niyetli bir içeriden kullanıcının saldırılarını simüle eder. Bu mutlaka haydut bir çalışan taklit değil. Yaygın bir başlangıç ​​senaryosu, kimlik avı kimlik avı saldırısı nedeniyle çalınan bir çalışan olabilir .

KÖR TESTİ
Kör bir testte, bir teste yalnızca hedeflenen işletmenin adı verilir. Bu, güvenlik personeline gerçek bir uygulama saldırısının nasıl gerçekleşeceğine dair gerçek zamanlı bir bakış sunar.

ÇİFT KÖR TEST
Çift kör bir testte, güvenlik personelinin simüle edilmiş saldırı hakkında önceden bilgisi yoktur. Gerçek dünyada olduğu gibi, bir ihlalin denenmeden önce savunmalarını karartmak için hiçbir zamanları olmaz.

HEDEFLENEN TEST
Bu senaryoda, hem test hem de güvenlik personeli birlikte çalışır ve birbirlerinin hareketlerini değerlendirmelerini sağlar. Bu, bir hacker'ın bakış açısıyla gerçek zamanlı geri bildirim sağlayan bir güvenlik ekibini sağlayan değerli bir eğitim uygulamasıdır.

PENETRASYON TESTİ VE WEB UYGULAMASI GÜVENLİK DUVARLARI
Penetrasyon testi ve WAF'ler özeldir ancak karşılıklı olarak faydalı güvenlik önlemleridir.

Birçok kalem testi türü için (kör ve çift kör testler hariç), test cihazının bir uygulamanın zayıf noktalarını bulmak ve kullanmak için günlükler gibi WAF verilerini kullanması olasıdır.

Buna karşılık, WAF yöneticileri kalem testi verilerinden yararlanabilir. Bir test tamamlandıktan sonra, WAF konfigürasyonları testte keşfedilen zayıf noktalara karşı emniyete almak için güncellenebilir.

Son olarak, kalem testi, PCI DSS ve SOC 2 dahil olmak üzere güvenlik denetimi prosedürleri için uyumluluk gereksinimlerinin bir kısmını karşılar . PCI-DSS 6.6 gibi bazı standartlar yalnızca sertifikalı WAF kullanımı ile karşılanabilir. Ancak, bunu yapmak, yukarıda belirtilen avantajları ve WAF konfigürasyonlarında iyileştirme kabiliyeti nedeniyle kalem testini daha az kullanışlı yapmaz.